对splunk来说很新。
我有以下查询,它给出了特定日志的总计数:
记录字符串: “log msg:stuff =”
从这个查询我可以通过匹配“log msg”得到总数:
source = * / logs / stdout.log classname = Log“log msg”|统计数据
然而,我想得到那些数量以及“东西”的数量,其中stuff =“”
如何修改上面的查询以获取“log msg”的总计数以及stuff为空字符串的总计数...(作为下一个问题可能显示在堆积条形图中?)但原始数据很好现在。
答案 0 :(得分:1)
这应该适合你:
source=*/logs/stdout.log classname=Log "log msg" | stats count, count(eval(stuff="")) as noStuff